CHAPITRE I.

RESEAUX LOCAUX VIRTUELS (VLAN)

I.1. Introduction

Les performances réseau peuvent jouer un rôle dans la productivité

d’une organisation et sa réputation à tenir ses promesses.

L’un des technologies qui permet de parvenir à d’excellentes

performances réseau consiste à diviser de vastes domaines de diffusion
en domaine plus petits à l’aide de réseaux locaux virtuels.

Avec des domaines de diffusion plus petits, le nombre de périphériques

participant aux diffusions est limité et les périphériques peuvent
être divisés en groupe fonctionnels.

I.2. Avantages

 Sécurité : les groupes contenant des données sensibles sont séparés

du reste du réseau, ce qui diminue les risques de violation de
confidentialité.
 Meilleures performances : le fait de diviser des réseaux linéaires
de couche 2 en plusieurs groupes de travail logiques (domaines de
diffusion) réduit la quantité de trafic inutile sur le réseau et
augmente les performances.

 Réduction des coûts (l’utilisation plus efficace de la bande

passante).
 Atténuation des tempêtes de diffusion.
Gestion simplifiée de projets ou d’applications.

I.3. Caractéristiques des réseaux locaux virtuels

Les réseaux locaux virtuels d’accès sont divisés selon une plage
normale ou une plage étendue.

a. VLAN à plage normale

ID de plage normale

- Compris entre 1 et 1005,

- 1002 – 1005 réservés aux VLAN Token Ring et FDDI,
- 1 et 1002 – 1005 sont automatiquement crée et ne peuvent pas être
supprimés.
- Les configurations sont stockées dans un fichier de base de données
VLAN, appelé VLAN.dat. Le fichier Vlan.dat se trouve dans la mémoire
flash du commutateur.

b. VLAN à plage étendue

ID de plage étendue :

- Compris entre 1006 et 4094;

- Conçus pour les fournisseurs de services;
- Prennent en charge moins de fonctionnalités VLAN que les VLANS à
plage normale;
- sont stockés dans le fichier de configuration en cours.

NB: un commutateur Cisco catalyst 2960 prend en charge 255 VLANS à

plage normale et plage étendue.
I.4. Types de VLAN

Il existe plusieurs termes pour désigner les Vlan. Certains termes

définissent le type de trafic réseau transporté, tandis que d’autres
décrivent une fonction spécifique remplie par le VLAN.

Voici certains des termes les plus couramment utilisés pour désigner
les VLAN : VLAN de données ; VLAN par défaut ; VLAN natif ; VLAN de
gestion.

I.4.1. Vlan de données

Un VLAN de données est un réseau local virtuel qui est configuré

pour ne transporter que le trafic généré par l’utilisateur.

I.4.2. Vlan par défaut

Tous les ports du commutateur deviennent membres du VLAN par défaut

après le démarrage initial du commutateur. Etant donné que tous les
ports du commutateur participent au Vlan par défaut, ils
appartiennent tous au même domaine de diffusion.
Cela permet à n’importe quel périphérique connecté à n’importe
quel port du commutateur de communiquer avec d’autres commutateurs
CISCO est le VLAN 1.

I.4.3. Vlan Natif

Un VLAN natif est affecté à un port d’agrégation 802.1Q. Un port

d’agrégation 802.1Q prend en charge le trafic provenant de
nombreux VLAN (trafic étiqueté), ainsi que le trafic ne provient
pas d’un VLAN (trafic non étiqueté).

Un Vlan natif sert d’identificateur commun aux extrémités d’une

liaison agrégée.

I.4.4. Vlan de gestion

Un Vlan de gestion est un réseau virtuel que vous configurez pour

accéder aux fonctionnalités d’un commutateur.

C’est le VLAN 1 qui fait office de VLAN de gestion si vous ne

définissez pas explicitement un Vlan distinct pour remplir cette
fonction.
I.4.5. Travaux pratiques du chapitre

1.

Se référer à la figure ci-haut, les machines qui se trouve sur le

vlan 20 n’arrivent pas à se communiquer avec les machines qui se
trouve dans le vlan 10. On demande de déterminer l’élément qui peut
permettre ses différentes machines de vlan 20 et vlan 10 de se
communiquer.

a. Un commutateur avec une liaison d’accès entre les commutateurs

b. Un commutateur avec une liaison trunk entre les commutateurs
c. Un routeur avec une adresse IP sur l’interface physique connecté au
commutateur
d. Un routeur avec des sous interfaces configuré sur l’interface physique qui
est connecté au commutateur
2. En se référant de la topologie. Le réseau est déjà installé. La
machine B peut accéder à l’internet, mais elle n’arrive pas à faire
le Ping à la machine C. Quel est le problème par rapport à cette
configuration ?

a. La machine B doit se trouver dans le vlan 13

b. L’adresse IP de la machine C est incorrecte
c. La passerelle de la machine B se trouve dans un sous réseau différent
d. Le port du commutateur qui envoie les trames du vlan 13 du commutateur au
routeur est désactivé
e. Le port du commutateur connecté au routeur a été mal configuré en mode
accès
 3. En se référant de la topologie.

Un administrateur réseau a ajouté deux nouvelles machines sur le

switch A. choisissez trois affirmations qui peuvent être utilisé pour
la configuration de ces machines.

a. Adresse IP de la machine A : 192.168.1.79

b. Adresse IP de la machine A : 192.168.1.64
c. Passerelle par défaut de la machine A : 192.168.1.78
d. Adresse IP de la machine B : 192.168.1.128
e. Passerelle par défaut de la machine B : 192.168.1.129
f. Adresse IP de la machine B : 192.168.1.190
4. En se référant de la topologie.

Le réseau pose un problème par rapport à la connectivité. Choisissez

deux bonnes assertions qui peuvent bien résoudre ce problème.

a. Configuré 10.1.1.1 comme adresse de la passerelle de la machine A

b. Configuré 10.1.2.254 comme adresse de la passerelle de la machine B
c. Configuré 10.1.2.2 comme adresse IP de la machine A
d. Configuré 10.1.2.2 comme adresse IP de la machine B
e. Configuré 255.255.255.224 comme masques S/R entre les machines
f. Configuré 255.255.255.240 comme masques S/R entre les machines
5. se référer à la topologie.

Toutes les machines sont en connectivité entre elles. Quelles sont

les déclarations qui décrivent l’usage du plan d’adressage dans le
réseau.

a. Le masque S/R utilisé est 255.255.255.192

b. Le masque S/R utilisé est 255.255.255.128
c. L’adresse IP 172.16.1.25 peut être assigné aux machines du vlan 1
d. L’adresse IP 172.16.1.205 peut être assigné aux machines du vlan 1
e. L’interface LAN du routeur est configuré avec une adresse IP
f. L’interface LAN du routeur est configuré avec plusieurs adresses IP
6. Parmi les affirmations suivantes relatives aux avantages des VLANS, lesquelles
sont vraies ?
a) Il augmente la taille de domaine de collision
b) Il permet de regrouper logiquement les utilisateurs par rapport à leurs fonctions
c) Il peut augmenter la sécurité du réseau
d) Il augmente la taille de domaine de diffusion jusqu’à diminuer le nombre de
domaine de collision
e) Il augmente le nombre de domaine de diffusion jusqu’à diminuer la taille de
domaine de diffusion
f) Il simplifie l’administration du commutateur

7. Quelle est la plage de VLANS qui peuvent être ajouté, modifié ou supprimés dans
un commutateur Cisco ?
a) 1 à 1002
b) 2 à 1001
c) 1 à 1001
d) 2 à 1005
8.Parmi les affirmations suivantes relatives aux hôtes configurés dans le même
VLAN, lesquelles sont vraies ? (choisissez trois réponses)
a) Les hôtes du même VLAN doivent se trouver sur le même segment physique
b) Les hôtes du même VLAN doivent se trouver sur le même sous-réseau IP
c) Les hôtes du même VLAN partagent le même domaine de collision
d) Les hôtes du même VLAN partagent le même domaine de diffusion
e) Les hôtes du même VLAN se conforment à la même stratégie de sécurité
f) Les hôtes du même VLAN peuvent se communiquer à l’aide du commutateur de
couche deux uniquement

9.Donnez deux protocoles de liaison qui sont utilisé pour transporter plusieurs VLAN
sur la même liaison.
g) VTP
h) 802.1Q
i) IGP
j) ISL
k) 802.3u
10) Quels équipements est-il possible de connecter à une liaison agrégée de vlan ?
(choisissez trois réponses)
a) Un commutateur
b) Un concentrateur
c) Un routeur
d) Un serveur doté d’une carte réseau spéciale
e) Un répéteur

11) Un switch à 16 ports a été configuré pour prendre en charge les quatre vlan
nommés Finance, Vente, Marketing et Technique. Chaque vlan s’étend sur quatre
ports du switch. L’administrateur réseau a supprimé dans le switch le vlan
Technique. Quelles affirmations décrivant l’état des ports associés à ce vlan ?
(choisissez deux réponses)
a) Les ports sont administrativement désactivés
b) Les ports sont inactifs
c) Les ports deviennent des agrégations transportant les données de tous les vlan
restants
d) Les ports sont libérés du vlan Technique et sont automatiquement affectés au
vlan 1
e) Les ports continuent de faire partie du vlan Technique jusqu’à ce qu’ils soient
affectés à un autre vlan.
12) Examinez la présentation. Quel groupe de commandes devra être utilisé sur le
routeur pour permettre la communication entre les deux hôtes connectés au switch ?
a) R1(config)# interface vlan 30
R1(config-if)# switchport mode trunk dot1q
R1(config-if)# interface vlan 40
R1(config-if)# switchport mode trunk dot1q
b) R1(config)# interface fastethernet 0/0
R1(config-if)# mode trunk dot1q 30 40
R1(config-if)# ip address 192.168.1.1 255.255.255.0
c) R1(config)# interface vlan 30
R1(config-if)# ip address 192.168.30.1 255.255.255.0
R1(config-if)# no shutdown
R1(config-if)# interface vlan 40
R1(config-if)# ip address 192.168.40.1 255.255.255.0
R1(config-if)# no shutdown
d) R1(config)# interface fastethernet 0/0
R1(config-if)# no shutdown
R1(config-if)# interface fastethernet 0/0.30
R1(config-if)# encapsulation dot1q 30
R1(config-if)# ip address 192.168.30.1 255.255.255.0
R1(config-if)# interface fastethernet 0/0.40
R1(config-if)# encapsulation dot1q 40
R1(config-if)# ip address 192.168.40.1 255.255.255.0
Conclusion:

Dans ce chapitre, nous avons présenté les réseaux locaux virtuels.

Les VLAN servent à segmenter les domaines de diffusion dans un
réseau VLAN commuté, ce qui améliorent les performances, la gestion
et la sécurité du réseau.

IEEE 802.1Q est le protocole d’agrégation standard. Le protocole

802.1Q utilise un processus d’étiquetage des trames pour séparer le
trafic des différents VLAN lorsqu’il traverse la liaison agrégée.
 CHAPITRE II. PROTOCOLE VTP ET PROTOCOLE STP

II.1. Protocole VTP

Au fur et à mesure que le réseau d’une entreprise se développe, la

gestion de sa maintenance n’en devient que plus importante.

Dans le chapitre premier, nous avons appris à créer et à gérer des

réseaux locaux virtuels (VLAN), ainsi que des agrégations, à l’aide
de commandes CISCO IOS. L’accent a été mis sur la gestion des
informations VLAN sur un seul commutateur.

Mais qu’en est-il si nous avons de nombreux commutateurs à gérer?

Comment allons-nous gérer la base de données VLAN sur nombreux
commutateurs?

Dans ce chapitre, nous découvrirons comment nous pouvons utiliser le

protocole VTP (Vlan Trunking Protocol) de commutateurs Cisco
Catalyst pour simplifier le gestion de la base de données Vlan sur
plusieurs commutateurs.
II.1.1. Qu’est – ce que le protocole VTP?

VTP est un protocole développé par Cisco servant à échanger des

informations VLAN sur des liaisons agrégées, afin de réduire
l’administration VLAN et les erreurs de configuration.

VTP nous permet de créer un réseau local virtuel une seule fois au
sein d’un domaine VTP, puis ce réseau local virtuel est propagé vers
tous les autres commutateurs dans le domaine VTP.

Le protocole VTP détecte uniquement les réseaux locaux virtuels de

plage normale (ID de Vlan 1 à 1005).

Les réseaux locaux virtuels de plage étendue (ID supérieur à 1005) ne

sert donc pas pris en charge par le protocole VTP.

II.1.2. Avantages de VTP

- Configuration Vlan homogène sur le réseau,

- Surveillance et suivi précis des Vlan,
- Signalement dynamique des Vlan ajoutés à l’ensemble du réseau,
- Configuration dynamique d’agrégation lors de l’ajout de Vlan ou
réseau.
II.1.3. Composants VTP

a. Domaines VTP

Le protocole VTP nous permet de séparer notre réseau en domaine

de gestion plus petits pour nous aider à réduire la gestion de
VTP offre un autre avantage : elle permet de limiter l’étendue de
propagation des modifications de configuration sur le réseau si
une erreur se produit.

b. Modes VTP

Il existe trois modes de fonctionnement de VTP :

1. Mode serveur

En mode serveur, nous pouvons créer, modifier et supprimer des

Vlans pour l’ensemble du domaine VTP.

Le mode serveur VTP constitue le mode par défaut d’un commutateur

CISCO. Les serveurs VTP annoncent leurs configurations VLAN aux
autres commutateurs du même domaine VTP et les synchronisent avec
eux en fonction des Annonces reçues sur les liaisons agrégées.
Les serveurs VTP stockent les informations VLAN pour l’ensemble du
domaine dans la mémoire vive non volatile. (NVRAM).

2. Mode client

Si le commutateur est en mode client, nous ne pouvons pas créer,

modifier, ni supprimer des Vlans. De plus, les informations de
configuration VLAN qu’un commutateur client VTP reçoit d’un
commutateur serveur VTP sont stockées dans une base de données VLAN,
et non en mémoire vive non volatile (NVRAM).

Par conséquent, les clients VTP exigent moins de mémoire que les
serveurs VTP. En cas d’arrêt et de redémarrage, un client VTP envoie
une annonce de type requête à un serveur VTP pour obtenir les
informations de configuration VLAN mises à jour.

3. Mode transparent

Le mode transparent VTP permet la création, la suppression et la

modification des VLANS, y compris des VLANS de plage étendue. Les
commutateurs en mode transparent VTP n’annoncent pas leur
configuration VLAN et ne la synchronisent pas avec un autre
commutateur. On peut configurer un commutateur en mode transparent si
nous possédons des configurations VLAN qui ont une signification
locale et ne doivent pas être partagées avec Le reste du réseau.
Les configurations VLAN sont enregistrées dans la mémoire vive non
volatile (mais pas annoncées à d’autres commutateurs), de sorte que
la configuration est disponible après un rechargement du
commutateur.

Ceci signifie que quand un commutateur en mode transparent VTP

redémarre, il ne revient pas à un mode serveur VTP par défaut, mais
reste en mode transparent VTP.

c. Annonces VTP

Le protocole VTP utilise les annonces pour distribuer et

synchroniser les configurations VLAN sur le réseau. Il existe trois
annonces VTP principales.

1. Annonces de type résumé

Contient le nom de domaine VTP, le numéro de révision actuel,

ainsi que d’autres détails sur la configuration VTP.
Les annonces de type résumé sont envoyées:

- Toutes les 5 minutes par un serveur au client VTP pour informer

les commutateurs versions compatibles VTP du numéro de révision
de configuration VTP actuel pour son domaine VTP.

- Immédiatement après une configuration.

2. Annonces de type sous-ensemble

Contient des informations VLAN. Les modifications qui

déclenchent l’annonce de type sous-ensemble comprennent:

- Création ou suppression d’un VLAN

- Arrêt ou activation d’un VLAN
- Modification du nom d’un VLAN
- Modification de la MTU d’un VLAN

3. Annonces de type requête

Lorsqu’une annonce de type requête est envoyée à un serveur VTP

du même domaine VTP, le serveur VTP répond en envoyant une
annonce de type résumé, puis une annonce de type sous-ensemble.
Des annonces de type requête sont envoyées si:
-Le nom de domaine VTP a été changé
- le commutateur reçoit une annonce de type résumé avec un numéro
de révision de configuration supérieur
- pour une raison quelconque, il manque un message d’annonce de type
sous-ensemble,
- le commutateur a été réinitialisé.

d. Les mots de passe VTP

Permettent de limiter la synchronisation entre les commutateurs

configuré avec le même domaine VTP.

e. Elagage VTP

L’élagage VTP peut améliorer la bande passante totale sur les

liaisons agrégées en limitant le trafic d’inondation aux
commutateurs contenant des réseaux locaux virtuels actif spécifiques
pour ce trafic.
II.2. Protocole STP

Les administrateurs informatiques doivent donc mettre en œuvre une

architecture redondante dans leurs réseaux hiérarchiques.

Cependant, l’ajout de liaisons supplémentaires aux commutateurs et

aux routeurs du réseau créer des boucles dans le trafic, qui doivent
être gérées de manière dynamique, lorsqu’une connexion à un
commutateur est coupée, une autre liaison doit rapidement prendre le
relais sous générer de nouvelles boucles.

Dans cette partie, nous découvrirons comment le protocole STP répond

à la problématique des boucles dans le réseau, et comment ce
protocole a évolué en un protocole qui calcule rapidement les ports
devant être bloqués pour éviter la formation de boucles dans un VLAN.

II.2.1. Redondance

La redondance offre une grande liberté de choix des chemins dans

réseau; elle permet d’assurer la transmission des données même si un
chemin ou un périphérique est défaillant dans la couche de
distribution ou la couche cœur de réseau.
La redondance implique certaines difficultés qui doivent être
résolus pour permettre le déploiement en toute sécurité d’une
architecture redondante dans un réseau hiérarchique.

II.2.2. Problèmes liés à la redondance

a. Boucles de couche 2

La redondance est une composante importante de la conception

hiérarchique. Bien que la redondance soit importante pour la
disponibilité du réseau, il est essentiel de prendre en compte
certains facteurs avant de pouvoir envisager la mise en œuvre
d’une architecture redondante dans un réseau.

Lorsqu’il existe plusieurs chemins entre deux périphériques du

réseau et que le protocole STP a été désactivé sur ces
commutateurs, une boucle de couche 2 peut se fermer.

Si STP est activé sur ces commutateurs, aucune boucle de couche 2

ne se ferme.
Les trames Ethernet n’ont pas de durée de vie (TTL) comme les paquet
IP qui traversent les routeurs. Par conséquent, si elles ne sont pas
arrêtées correctement dans un réseau commuté, elles continuent de
circuler indéfiniment d’un commutateur à un autre ou jusqu’à ce
qu’une liaison soit interrompue et mettre fin à la boucle.

Des trames de diffusion sont transmise par tous les ports, hormis le
port d’origine. De cette manière, tous les périphérique du domaine
de diffusion reçoivent la trame. Si la trame peut emprunter
plusieurs chemins, une boucle sans fin pourra être crée.

Les boucles entraine une charge importante sur tous les commutateurs
pris dans la boucle. Dans la mesure où les mêmes trames transitent
constamment entre les différents commutateurs faisant partie de la
boucle, à terme, l’UC du commutateur est amenée à traiter une
importante quantité de données. Par conséquent, les performances du
commutateur se dégradent lors de l’arrivée du trafic légitime.
Lorsqu’un hôte est pris une boucle réseau, les autres hôtes du
réseau ne peuvent pas y accéder. Etant donné que la table d’adresse
MAC change constamment en raison des mises à jour des trames de
diffusion, le commutateur ne soit pas vers quel port il doit
transmettre les trames de monodiffusion (unicast) pour qu’elles
atteignent la destination finale.

Les trames de monodiffusion finissent également pour tourner en

boucle sur le réseau. Avec multiplication progressive des trames
qui circule en boucle sur le réseau, une tempête de diffusion se
produit.

b. Tempêtes de diffusion

Une tempête de diffusion se produit lorsque toute la bande passante

disponible est consommée en raison du nombre trop élevé de trames
de diffusion prises dans une boucle de couche 2. par conséquent, il
n’y a plus de bande passante disponible pour le trafic légitime et
le réseau est rendu inutilisable pour les communications de
données.

Une tempête de diffusion est inévitable sur un réseau comportant

des boucles. Avec la multiplication des périphériques qui envoient
des trames de diffusions sur le réseau, le trafic inclus dans la
boucles est de plus en plus important.
A terme, il se produit une tempête de diffusion qui provoque une
panne du réseau.

Les tempêtes de diffusion génèrent d’autres problèmes. Dans la

mesure où le trafic de diffusion est transmis à chaque port d’un
commutateur, tous les périphériques connectés doivent traiter
l’intégralité du trafic de diffusion qui circule sans fin sur le
réseau comportant des boucles. Par conséquent, il est possible que
le périphérique final ne fonctionne pas correctement en raison des
exigences de traitement élevées pour gérer une charge de trafic
aussi importance sur la carte réseau.

Etant donné que les périphériques connectés à un réseau envoient

constamment des trames de diffusion (telle que des requêtes ARP),
une tempête de diffusion peut survenir en un rien de temps. Par
conséquent, la formation d’une boucle provoque rapidement la
désactivation du réseau.

c. Trames de monodiffusion en double

Les boucles ne concernent pas uniquement les trames de diffusion:

lorsque des trames de monodiffusion (unicast) sont envoyé sur un
réseau comportant des boucles, des trames en double peuvent parvenir
à la destination finale.
La plupart des protocoles de couche supérieure ne sont pas conçus
pour reconnaitre ou gérer les transmissions en double.

En générale, les protocoles qui utilisent un mécanisme de

numérotation de séquence considèrent que la transmission a échoué et
que le numéro d’ordre a été recyclé pour une autre session de
communication. D’autres protocoles tentent de passer la transmission
en double au protocole de couche supérieure approprié afin que la
transmission soit traité et éventuellement rejetée.

d. Boucles dans le local technique

La redondance est une composante importante de la topologie d’un

réseau hiérarchique à disponibilité élevée, mais des boucles peuvent
se former en raison des nombreux chemins configuré sur le réseau.

Nous pouvons utiliser le protocole STP pour éviter la création de

boucles. Cependant, si le protocole STP n’a pas été mis en œuvre
pour préparer une topologie redondante, des boucles peuvent se
former à votre insu.
Dans les entreprises, la configurations du câblage du réseau se
révèle souvent difficile. Les câbles d’interconnexion du réseau
entre les commutateurs de la couche d’accès, situé dans des locaux
techniques, disparaissent dans les murs, les sols et les plafonds,
où ils sont raccordés aux commutateurs de la couche de distribution
du réseau.

Si les câbles réseau ne sont pas correctement étiquetés aux points

de transmission dans le panneau de brassage de local technique, il
est difficile de savoir où se situe la destination du port du
panneau de connexions sur le réseau. Les boucles réseau résultats
de connexions dupliquées accidentelles dans les locaux techniques
sont monnaie courante.

Ce type de boucle est fréquent dans le local technique. La boucle

est crée lorsqu’un administrateur connecte par erreur un câble à un
commutateur auquel il est déjà connecté. Cette situation se produit
généralement lorsque les câbles réseau ne sont pas correctement
étiquetés ou lorsque l’administrateur n’a pas pris le temps de
vérifier où les câbles sont connectés.
Cette situation se produit généralement lorsque les câbles réseau ne
sont pas correctement étiquetés ou lorsque l’administrateur n’a pas
pris le temps de vérifier où les câbles sont connectés.

e. Boucles dans les bureaux cloisonnés

En raison des connexions de données insuffisantes, certains

utilisateurs finaux disposent d’un commutateur ou d’un concentrateur
personnel situé dans leur environnement de travail.

Au lie d’imputer les coûts de l’exécution des connexions de données

réseau à l’espace de travail, simple concentrateur ou commutateur
est raccordé à une connexion de donnés réseau existante pour que
tous les périphériques connectés au commutateur ou au concentrateur
personnel puissent accéder au réseau.

Les locaux techniques sont généralement protégés pour empêcher tout

accès non autorisé. Par conséquent, l’administrateur réseau est bien
souvent la seule personne qui contrôle totalement la manière dont
les périphériques sont connectés au réseau et le choix de ces
périphériques.
En revanche, l’administrateur ne gère pas la méthode d’utilisation
ou de connexion des commutateurs ne gère pas la méthode
d’utilisation ou de connexion des commutateurs et concentrateurs
personnels.

L’utilisateur final peut donc interconnecter accidentellement les

commutateurs ou concentrateurs.

II.2.3. Topologie STP

La redondance améliore la disponibilité de la topologie du réseau en

supprimant le risque de points de défaillance uniques dans un
réseau; par exemple une panne d’un commutateur ou d’un câble du
réseau.

Lorsqu’une architecture redondante est introduite dans une

conception de couche 2, des boucles et des trames en double peuvent
apparaitre, et les conséquences peuvent être dramatiques pour le
réseau. Le protocole STP a été conçu afin de résoudre ces problèmes.

Le protocole STP garantit l’unicité du chemin logique entre toutes

les destinations sur le réseau en bloquant intentionnellement les
chemins redondants susceptibles comme bloqué lorsqu’aucune donnée ne
peut être envoyée au reçue sur ce port, à l’exception des trames
BPDU (Bridge Protocol Data Unit)
qui sont employées par le protocole STP pour empêcher la formation
de boucles.

Le blocage des chemins redondants est essentiel pour empêcher la

formation de boucles sur le réseau. Les chemins physiques sont
préservés pour assurer la redondance, mais ils sont désactivés afin
d’empêcher la création de boucles. Si le chemin est amené a être
utilisé en cas de panne d’un commutateur ou d’un câble réseau.

L’algorithme Spanning Tree (STA) recalcule les chemins et débloque

les ports nécessaires pour permettre la réactivation du chemin
redondant.

STP empêche la formation de boucles en configurant un chemin sans

boucle sur le réseau à l’aide de ports en état de blocage placés de
façon stratégique. Les commutateurs qui exécutent le protocole STP
sont capables d’assurer la continuité des commutations en cas de
panne en débloquant dynamiquement les ports préalablement bloqués et
en utilisant le trafic à emprunter les chemins de substitution.
II.2.4. Algorithme Spanning Tree (STA)

Le protocole STP utilise l’algorithme spanning tree (STA) pour

déterminer quels ports de commutateurs doivent être configurés en
état de blocage afin d’empêcher la formation de boucles sur un
réseau. L’algorithme STA désigne un commutateur unique comme point
racine et il l’utilise comme point de référence pour le calcul de
tous les chemins (port racine est choisi par le biais d’un
processus de sélection). Tous les commutateurs associés au
protocole STP échangent des trames BPDU pour identifier le
commutateur doté de l’identificateur de pont (BID) le plus faible
sur le réseau.

Le commutateur doté de l’identificateur (ID) le plus faible devient

automatiquement le port racine pour les calculs de l’algorithme
STA.

L’unité BPDU est la trame de message échangée par les commutateurs

pour le protocole STP. Chacune de trame BPDU contient un
identificateur de port qui identifie le commutateur ayant envoyé le
trame BPDU.

L’identificateur de port contient une valeur de priorité, l’adresse

MAC du commutateur émetteur et un ID système étendu facultatif. La
valeur d’identificateur de port la plus faible est déterminée par
la combinaison de ces trois champs.
Une fois que le ports racine a été déterminé, l’algorithme STA calcule
le chemin le plus court vers le port racine.

Chaque commutateur utilise l’algorithme STA pour identifier les ports

devant être bloqués. Pendant que l’algorithme STA détermine les
meilleurs chemins vers le ports racine pour toutes les destinations du
domaine de diffusion, aucune donnée ne peut être transmise sur le
réseau. L’ algorithme STA prend en compte les coûts de chemin et de
port lors de la sélection du chemin qui ne doit pas être bloqué.

Lorsque l’algorithme STA a déterminé les chemins qui doivent rester

disponibles, il ,configure les ports des commutateurs dans des rôles
de ports indépendants. Les rôles des ports décrivent le lien entre les
ports et le port racine du réseau et spécifient s’ils sont autorisés à
acheminer le trafic.

Ports racine : il s’agit des ports de commutateur les plus proches du

pont racine.

Ports désignés : il s’agit de tous les ports non racine qui sont
autorisés à acheminer le trafic sur le réseau.

Ports non désignés : il s’agit de tous les ports configuré dans un

état de blocage pour empêcher la formation de boucles.
Port racine : sert de point de référence pour tous les calculs de
l’algorithme STA afin de déterminer les chemins redondants devant être
bloqués.

Tous les commutateurs du domaine de diffusion participent au processus

d’élection. Après l’initialisation d’un commutateur, ce dernier envoie
des trames BPDU contenant l’ID de port du commutateur et l’ID de
racine toutes les deux secondes. Par défaut, l’ID de racine correspond
à l’ID de port local de tous les commutateurs du réseau.

L’ID de racine identifie le port racine du réseau. Au départ, chaque

commutateur s’identifie comme étant le port racine après son
utilisation.

Au fur et à mesure que les commutateurs transmettent leurs trames

BPDU, les commutateurs voisins dans le domaine de diffusion lisent les
informations d’ID de racine à partir de la trame BPDU.

Si l’ID de racine de la trame BPDU reçue est inférieur à l’ID de

racine sur le commutateur où elle est reçue. Ce dernier met à jour sur
ID de racine identifiant le commutateur adjacent comme port racine.
Meilleurs chemins vers le port racine

Lorsque le port racine a été désigné pour l’instance Spanning Tree,

l’algorithme STA entame le processus de détermination des meilleurs
chemins vers le port racine à partir de toutes les destinations du
domaine de diffusion. Les informations de chemin sont déterminées par
la somme des différents coûts de ports sur le chemin de la
destination vers le port racine.

Les coûts du port par défaut sont définis par la vitesse de

fonctionnement du port.

Les ports Ethernet à 10 Gbits/s présentent un coût de port de 2, les

ports Ethernet à 1 Mbits/s présentent un coût de 4, les ports Fast
Ethernet à 100 Mbits/s présentent un coût de 19 et les ports Ethernet
à 10 Mbits/s présentent un coût de 100.

II.2.5. BPDU du protocole STP

Chaque commutateur du domaine de diffusion se considère initialement

comme le port racine de l’instance de l’arbre recouvrant. Par
conséquent, les trames BPDU envoyés contennent l’ID de port du
commutateur local comme ID de racine. Par défaut, les trames BPDU
sont envoyées toutes les deux secondes après l’initialisation d’un
commutateur; c’est-à-dire que la valeur par défaut d’intervalle entre
chaque envoi de trames (hello time) spécifiée dans la trame BPDU
correspond à 2 secondes.

Chaque commutateur met à jour les informations locales concernant son

ID de ports, l’ID de racine et le coût du chemin vers la racine.

Lorsque des commutateurs adjacents reçoivent une trame BPDU, ils

comparent ID de racine de la trame BPDU à leur ID de racine local. Si
l’ID de racine de la trame BPDU est plus faible que l’ID de racine
local, le commutateur met à jour l’ID de racine local et l’ID dans
ses messages BPDU.

Ces messages ont pour rôle d’indiquer le nouveau port racine du

réseau. Qui plus est le coût du chemin est mis à jour pour indiquer
à quelle distance se trouve le port racine.

Par exemple, si la trame BPDU a été reçue sur le port de commutateur

Fast Ethernet, le coût du chemin est défini à 19.

Si l’ID de racine local est inférieur à l’ID de racine reçu dans la

trame BPDU, la trame BPDU est rejetée.

Une fois qu’un ID de racine a été mis à jour pour identifier un

nouveau port racine, toutes les trames BPDU suivantes envoyées
à partir de ce commutateur contrennent le nouvel ID de racine et le
coût de chemin mis à jour. Ainsi, tous les autres commutateurs
adjacent peuvent systématiquement voir l’ID de racine le plus faible
identifié. Au fur et à mesure que les trames BPDU circulent entre
d’autres commutateurs adjacents, le coût du chemin est continuellement
mis à jour pour indiquer le coûts du chemin total vers le port racine.
Chaque commutateur inclus dans l’ordre recouvrant utilise ses coûts de
chemins pour identifier le meilleur chemin possible vers le port
racine.

II.2.6. ID de port
II.2.6.1. Priorité du port

La priorité du port est une valeur personnalisable que vous pouvez

modifier pour choisir le commutateur qui sera le port racine.

Le commutateur qui possède la priorité la plus faible, c’est-à-dire

l’ID de port le plus faible, devient le port racine (plus la valeur de
priorité est faible, plus la priorité est élevée).

Par exemple, pour faire en sorte qu’un commutateur soit

systématiquement le port racine, vous devez lui affecter une valeur de
priorité plus faible que celle de tous les autres commutateurs CISCO
est 32768. la plage des valeurs de priorité est comprise entre
1 et 65536; par conséquent, 1 correspond à la priorité la plus
élevée.

ID système étendu : lorsque l’ID système étendu est employé, il

modifie le nombre de bits disponibles pour la valeur de priorité de
port, et l’incrément pour la valeur de priorité de port passe donc de
1 à 4096. par conséquent, les valeurs de priorité de port doivent
être des multiples de 4096.

II.2.6.2. Adresse MAC

Lorsque deux commutateurs sont configurés avec la même priorité et

possèdent la même ID système étendu, le commutateur dont l’adresse
MAC présente la valeur hexadécimale la plus faible possède le BID le
plus faible.

Au départ, tous les commutateurs sont configurés avec la même valeur

de priorité par défaut. L’adresse MAC est alors le critère qui
détermine le choix du commutateur devant faire office de port racine.
Ceci aboutit à un choix imprévisible pour le port racine.

Il est recommandé de configurer le commutateur port racine souhaité

en lui attribuant une priorité plus faible pour garantir son choix
comme port racine.
Cette procédure garantit également que l’ajout de nouveaux
commutateurs sur le réseau ne déclenchera pas de nouvelle sélection
par algorithme STA, susceptible de perturber les communications
réseau pendant la sélection d’un nouveau port racine.

Configuration

Deux méthodes de configuration sont disponibles pour configurer la

valeur de priorité de port d’un commutateur CISCO catalyst.

Méthode 1

- Utilisez la commande Spanning tree Vlan ID Vlan root primary en mode

de configuration globale.

- Si un port racine alternatif est souhaité, utilisez la commande

spanning tree vlan ID vlan root secondary en mode de configuration
globale.
Méthode 2

- Utilisez la commande spanning tree vlan ID vlan priority value en mode

de configuration globale.

Cette commande vous permet de contrôler plus précisément la valeur

de priorité du port. La valeur de priorité est configurée par
incréments de 4096, compris entre 0 et 65536.

II.2.7. ETATS des ports STP

Le protocole STP détermine le chemin logique sans boucle sur

l’ensemble du domaine de diffusion. L’arbre recouvrant est déterminé
au moyen des informations recueillies par l’échange de trames BPDU
entre les commutateurs interconnectés. Pour faciliter
l’apprentissage de l’arbre recouvrant logique, chaque port d’un
commutateur passe par cinq états possibles et trois minuteurs BPDU.

1. Blocage : le port est un port non désigné qui ne participe pas à

l’acheminement des trames. Le port reçoit des trames BPDU pour
déterminer l’emplacement de l’ID de racine du commutateur port
racine, ainsi que le rôle que chaque port d’un commutateur doit
jouer dans la topologie STP active finale.
2. Ecoute : le protocole STP a déterminé que le port peut participer
à l’acheminement des trames en fonction des trames BPDU que le
commutateur a reçues jusqu’à présent.

A ce stade, le port du commutateur ne reçoit pas seulement des trames

BPDU, il transmet également ses propres trames BPDU et informe les
commutateurs adjacents que le port se prépare à participer à la
topologie active.

3. Apprentissage: le port se prépare à participer à l’acheminement

des trames et commence à acheminer la table d’adresse MAC.

4. Acheminement: le port est considéré comme intégré à la topologie

active; il achemine les trames, et il envoie et reçoit également
des trames BPDU.

5. Désactivation: le port du couche 2 ne participe pas à l’arbre

recouvrant et n’achemine aucune trame. L’état désactivé est
définis lorsque le port du commutateur est désactivé sur le plan
administratif.
II.2.8. Technologie PortFast de CISCO

PortFast est technologie de CISCO. Lorsqu’un port de commutateur

configuré avec la topologie PortFast est définis comme port d’accès,
ce port passe immédiatement de l’état de blocage à l’état
acheminement, sans passer par les états traditionnels d’écoute et
d’apprentissage STP. Vous pouvez utiliser PortFast sur les ports
d’accès (qui sert connectés à une station de travail ou à un serveur
unique) pour permettre à ces périphériques de se connecter
immédiatement au réseau au lieu d’attendre que l’arbre recouvrant
soit convergent.

Si une interface configuré en PortFast reçoit une trame BPDU,

l’algorithme STA peut placer le port en état de blocage à l’aide
d’une fonction appelée BPDU Guard.

Pour configurer PortFast sur un port de commutateur, entrez la

commande spanning tree portfast en mode de configuration d’interface
sur chaque interface sur laquelle la technologie PortFast doit être
activée.
II.2.9. Protocole RSTP

Le protocole RST (IEEE 802.1W) constitue une évolution de la norme

802.1D. Le protocole RSTP n’autorise pas l’état de blocage d’un port.
Il définit les états suivant pour les ports: mise à l’écart
(discarding), apprentissage ou acheminement.

Caractéristiques du protocole RSTP

Le protocole RSTP optimise le recalcule de l’arbre recouvrant lorsque

la topologie d’un réseau de couche 2 change. Le protocole RSTP assure
un temps de convergence beaucoup plus rapide dans un réseau
correctement configuré, parfois de l’arbre de quelques certaines de
millisecondes. Il redéfinit le type des ports et leur état.

Si un port est configuré comme port alternatif ou de secours, il peut

basculer immédiatement vers l’état d’acheminement sans attendre que
le réseau soit convergent.

Le protocole RSTP réduit le temps de convergence (de l’ordre de six

secondes ou moins).
 Exercices
1. Observez le schéma. Si toutes les liaisons opèrent à la même bande passante avec
le protocole STP, quels sont les ports qui seront des ports désignés (choisissez 3
réponses).
 

a) Switch A – Fa 0/0
b) Switch A – Fa 0/1
c) Switch B – Fa 0/0
d) Switch B – Fa 0/1
e) Switch C – Fa 0/0
f) Switch C – Fa 0/1
 
2.Donnez deux protocoles qui sont utilisé par le switch pour prévenir le bouclage de
niveau 2 dans le réseau ?
a) 802.1d
b) VTP
c) 802.1Q
d) STP
e) SAP
3. Associez chaque processus avec spanning tree approprié. Cochez toutes les options qui
s’appliquent aux différents états spanning tree.
4)Que se passe-t-il lors d’une modification topologique sur un réseau
utilisant le protocole STP ? (Choisissez deux réponses)
a) Le commutateur recalcule la topologie spanning tree après la
convergence du réseau
b) Le trafic utilisateur est interrompu jusqu’à ce que le recalcule soit terminé
c) L’état d’apprentissage est attribué à tous les ports jusqu’à ce qu’il se
produise une convergence
d) Un délai de 50 seconds maximums est exigé pour la convergence de la
nouvelle topologie spanning tree
e) Les données utilisateur sont acheminées tandis que les unités BPDU sont
échangées afin de recalculer la topologie.

5) Quels sont les deux problèmes que causent les liens redondants dans un
réseau commuté ? (choisissez deux réponses)
a) La corruption de la table de routage
b) Les boucles de commutation
c) Les tempêtes de broadcasts
d) Les boucles de routage
e) La corruption de la base des informations
 
6) Quels sont les deux critères qu’applique STP pour choisir le pont racine
dans un réseau commuté contenant des redondances ? (choisissez deux
réponses)
a) Quantité de RAM du commutateur
b) Priorité du pont
c) Vitesse de commutation
d) Nombre de ports de commutation
e) Emplacement du commutateur
 
7) Que comprend un réseau commuté convergé doté de la fonction spanning
tree ? (choisissez deux réponses)
a) Un pont racine par réseau
b) Tous les ports non désignés en mode de transmission
c) Un port racine par pont non racine
d) Plusieurs ports désignés par segments
e) Un port désigné par réseau
8) A quelle fréquence par défaut sont transmises les unités BPDU de la
fonction spanning tree ?
a) Toutes les secondes
b) Toutes les deux secondes
c) Toutes les trois secondes
d) Toutes les quatre secondes
 
9) Quel est le rôle du mode VTP transparent ?
a) Autorise la création d’un vlan sur un seul commutateur « transparent » et sa
propagation vers tous les autres commutateurs VTP
b) Autorise la propagation des vlan de plage étendue
c) Rend le trafic VTP « transparent » aux autres périphériques en autorisant les
autres vlan autres que le vlan 1 à agir comme vlan de gestion
d) Active les annonces VTP pour traverser un commutateur non participatif
 
10) Lisez l’exposé. Les commutateurs 1 et 2 sont configurés dans le même domaine VTP
mais ont échoué lors de l’échange d’informations vlan. Que faire pour résoudre le
problème ?
 

a) Configurer les même vlan sur le client et serveur VTP

b) Configurer le même mode VTP sur le client et le serveur VTP
c) Configurer le même mot de passe sur le client et le serveur VTP
d) Configurer différents noms de domaine VTP sur le client et le serveur VTP
e) Configurer le client VTP en mode VTP transparent
f) Configurer le lien agrégé comme liaison d’accès
11) Quels sont les trois ports qui abandonnent le trafic des données pendant
le fonctionnement du protocole STP ? (choisissez trois réponses)
a) Les ports bloqués
b) Les ports désignés
c) Les ports désactivés
d) Les ports racine
e) Les ports en mode transmission
f) Les ports en mode écoute
 
12) Dans le processus de la sélection, avec le protocole STP quel est le switch
qui sera choisi pour devenir le pont racine ?
a) 32768 : 11-22-33-44-55-66
b) 32768 : 22-33-44-55-66-77
c) 32769 : 11-22-33-44-55-65
d) 32769 : 22-33-44-55-66-78
 
Chap.4 FILTRAGE DU TRAFIC A L’AIDE DES LISTES DE CONTROLE D’ACCES

4.1 Introduction
Au sein d’un réseau d’entreprise, la sécurité est primordiale. Il est important de
refuser l’accès aux utilisateurs non autorisés et de protéger le réseau contre
diverses attaques, notamment les attaques par déni de service. Les utilisateurs
non autorisés peuvent modifier, détruire ou dérober des données sensibles qui se
trouvent sur les serveurs. Les attaques par déni de service empêchent les
utilisateurs autorisés d’accéder aux installations. Ces deux situations engendrent
une perte de temps et d’argent pour l’entreprise.
Grâce au filtrage de trafic, un administrateur peut contrôler le trafic sur divers
segments du réseau. Le filtrage consiste à analyser le contenu d’un paquet afin de
déterminer si ce paquet doit être autorisé ou bloqué.
Le filtrage des paquets peut être simple ou complexe et autoriser ou refuser le
trafic en fonction :
 de l’adresse IP source ;
 de l’adresse IP de destination ;
 des adresses MAC ;
 des protocoles ;
 du type d’application.
Le filtrage des paquets peut être comparé au filtrage des courriels indésirables.
De nombreuses applications de messagerie permettent à l’utilisateur de modifier
la configuration afin de supprimer automatiquement le courriel provenant d’une
adresse source particulière. Le filtrage des paquets peut être effectué de la
même façon en configurant un routeur qui identifiera le trafic indésirable.
Le filtrage du trafic permet d’améliorer les performances du réseau. Lorsque le
trafic indésirable ou limité est bloqué près de la source, il ne transite pas sur un
réseau et ne consomme pas des ressources précieuses.
Les périphériques les plus souvent utilisés pour filtrer le trafic sont :
 des pare-feu inclus dans des routeurs intégrés ;
 des appareils de sécurité dédiés ;
 des serveurs.
Certains périphériques filtrent uniquement le trafic provenant du réseau interne.
Les appareils de sécurité plus sophistiqués reconnaissent et filtrent les types
d’attaques connus provenant de sources externes.
Les routeurs d’entreprise détectent le trafic malveillant et l’empêchent
d’accéder au réseau et de l’endommager. La grande majorité des routeurs
filtrent le trafic en fonction des adresses IP source et de destination des paquets.
Ils filtrent également sur des applications spécifiques et des protocoles tels que
IP, TCP, HTTP, FTP et Telnet.
4.2 UTILISATION

L’une des méthodes de filtrage du trafic les plus courantes est l’utilisation des
listes de contrôle d’accès (ou ACL). Les listes de contrôle d’accès permettent de
gérer et de filtrer le trafic qui entre dans un réseau ainsi que celui qui en sort.

Une liste de contrôle d’accès peut ne contenir qu’une seule instruction qui
autorise ou refuse le trafic d’une source unique comme elle peut compter des
centaines d’instructions qui autorisent ou refusent des paquets provenant de
sources multiples. Les listes de contrôle d’accès servent principalement à identifier
les types de paquets à accepter ou à refuser.

Les listes de contrôle d’accès identifient le trafic pour divers motifs, notamment :
 la spécification d’hôtes internes pour la fonction NAT ;
 l’identification ou la classification du trafic pour des fonctions avancées telles
que la qualité de service et la mise en file d’attente ;
 la limitation du contenu des mises à jour de routage ;
 la limitation du résultat du débogage ;
 le contrôle de l’accès au terminal virtuel des routeurs.
L’utilisation des listes de contrôle d’accès peut engendrer les problèmes suivants :
 La charge supplémentaire sur le routeur découlant de la vérification de tous les
paquets réduit le temps disponible pour le transfert de ces paquets.
 Des listes de contrôle d’accès mal conçues augmentent encore plus la charge sur
le routeur, pouvant provoquer une interruption du réseau.
 Des listes de contrôle d’accès mal positionnées peuvent bloquer le trafic qui
devrait être autorisé et autoriser le trafic qui devrait être bloqué.
4.3 TYPES
Il existe trois types de listes de contrôle d’accès :
4.3.1 Listes de contrôle d’accès standard
La liste de contrôle d’accès standard constitue le type le plus simple. Lors de la
création d’une liste de contrôle d’accès IP standard, le filtre est basé sur l’adresse IP
source d’un paquet. L’autorisation ou le refus engendré par les listes de contrôle
d’accès standard est basé sur l’intégralité du protocole, par exemple l’IP. Ainsi, si un
refus est signalé à un périphérique hôte par une liste de contrôle d’accès standard,
tous les services de cet hôte sont refusés. Ce type de liste de contrôle d’accès est
utile lorsque vous souhaitez autoriser tous les services d’un utilisateur ou d’un
réseau local spécifique à traverser un routeur tout en refusant l’accès aux autres
adresses IP. Les listes de contrôle d’accès standard sont identifiées par le numéro
qu’elles se voient attribuer. Pour les listes d’accès autorisant ou refusant le trafic IP,
le numéro d’identification est compris entre 1 et 99 et entre 1300 et 1999.
4.3.2 Listes de contrôles d’accès étendues

Les listes de contrôle d’accès étendues filtrent non seulement sur l’adresse IP
source, mais également sur l’adresse IP de destination, le protocole et les
numéros de port. Les listes de contrôle d’accès étendues sont plus utilisées que
les listes standard car elles sont plus spécifiques et offrent un meilleur contrôle.
Les numéros des listes de contrôle d’accès étendues vont de 100 à 199 et de
2000 à 2699.

4.3.3 Listes de contrôle d’accès nommées

Les listes de contrôle d’accès nommées sont des listes standard ou étendues
désignées par un nom descriptif et non par un numéro. Lorsque vous configurez
des listes de contrôle d’accès nommées, l’IOS du routeur utilise un mode de
sous-commande de liste de contrôle d’accès nommée.

4.4 TRAITEMENT D’ACL

Les listes de contrôle d’accès comprennent une ou plusieurs instructions. Chaque
instruction autorise ou refuse le trafic en fonction des paramètres spécifiés. Le
trafic est comparé de façon séquentielle à chaque instruction de la liste de
contrôle d’accès jusqu’à ce qu’une correspondance soit détectée ou jusqu’à la
dernière instruction.
La dernière instruction d’une liste de contrôle d’accès est toujours une instruction
implicit deny. Cette instruction est automatiquement ajoutée à la fin de chaque
liste de contrôle d’accès, même si elle n’est pas physiquement présente.
L’instruction implicit deny bloque l’ensemble du trafic. Cette fonction empêche
l’arrivée accidentelle d’un trafic indésirable.

Une fois que vous avez créé la liste de contrôle d’accès, vous devez l’appliquer à
une interface pour qu’elle devienne active. La liste de contrôle d’accès traite le
trafic en entrée ou en sortie de l’interface. Si un paquet correspond à une
instruction permit, il est autorisé à entrer dans le routeur ou à en sortir. S’il
correspond à une instruction deny, il s’arrête là. Une liste de contrôle d’accès qui
ne compte pas au moins une instruction permit bloque l’ensemble du trafic. En
effet, toutes les listes de contrôle d’accès se terminent par une instruction implicit
deny. Une liste de contrôle d’accès refuse ainsi tout trafic qui n’a pas été
spécifiquement autorisé.
Un administrateur applique à une interface de routeur une liste de contrôle d’accès
entrante ou sortante. La direction (entrée ou sortie) est toujours exprimée par
rapport au routeur. Le trafic arrivant sur une interface est considéré comme
entrant et le trafic sortant d’une interface comme sortant.
Lorsqu’un paquet arrive sur une interface, le routeur vérifie les paramètres suivants :
 Une liste de contrôle d’accès est-elle associée à l’interface ?
 La liste de contrôle d’accès est-elle entrante ou sortante ?
 Le trafic correspond-il aux critères d’autorisation ou de refus ?
Une liste de contrôle d’accès appliquée à une interface en sortie n’a pas d’effet sur le
trafic entrant sur cette interface.
Chaque interface d’un routeur ne peut disposer que d’une seule liste de contrôle
d’accès par direction pour chaque protocole réseau. Pour le protocole IP, une
interface peut disposer simultanément d’une liste de contrôle d’accès entrante et
d’une liste sortante.
Les listes de contrôles d’accès appliquées à une interface ajoutent de la latence au
trafic. Une seule liste de contrôle d’accès, si elle est longue, peut même affecter les
performances du routeur.

4.5 UTILISATION D’UN MASQUE GENERIQUE

Les listes de contrôle d’accès simples ne permettent d’indiquer qu’une seule adresse
autorisée ou refusée. Pour bloquer plusieurs adresses ou des plages d’adresses, vous
devez utiliser soit plusieurs instructions soit un masque générique. L’utilisation d’une
adresse réseau IP avec un masque générique vous offre beaucoup plus de souplesse.
Un masque générique permet de bloquer une plage d’adresses ou un réseau entier
en une seule instruction.
Un masque générique utilise des 0 pour indiquer la partie d’une adresse IP qui doit
exactement correspondre et des 1 pour indiquer la partie d’une adresse IP qui ne doit
pas correspondre à un nombre donné.

Si le masque générique est 0.0.0.0, une correspondance exacte doit se trouver sur les
32 bits de l’adresse IP. Ce masque équivaut à utiliser le paramètre host.
Le masque générique utilisé avec les listes de contrôle d’accès fonctionne de la même
façon que celui utilisé dans le protocole de routage OSPF. La fonction de chaque
masque est cependant différente. Dans le cas d’instructions de liste de contrôle
d’accès, le masque générique spécifie un hôte ou une plage d’adresses à autoriser ou
refuser.

Lorsque vous créez une instruction de liste de contrôle d’accès, l’adresse IP et le

masque générique deviennent des champs de comparaison. Tous les paquets qui
entrent sur une interface ou qui en sortent sont comparés à chaque instruction de la
liste de contrôle d’accès afin de rechercher une correspondance. Le masque
générique détermine le nombre de bits de l’adresse IP entrante qui correspondent à
l’adresse de comparaison.

Par exemple, l’instruction suivante autorise tous les hôtes du réseau 192.168.1.0 et
bloque tous les autres :
access-list 1 permit 192.168.1.0 0.0.0.255
Le masque générique indique que seuls les trois premiers octets doivent
correspondre. Ainsi, si les 24 premiers bits du paquet entrant correspondent aux
24 premiers bits du champ de comparaison, le paquet est autorisé. Tout paquet dont
l’adresse IP source se trouve entre 192.168.1.1 et 192.168.1.255 correspond à l’adresse
de comparaison et à la combinaison de masque données en exemple. Tous les autres
paquets sont refusés, du fait de l’instruction implicite de liste de contrôle d’accès deny
any.
Lorsque vous créez une liste de contrôle d’accès, vous pouvez remplacer un masque
générique par deux paramètres spéciaux : host et any.

 Paramètre host
Pour filtrer un hôte spécifique, vous pouvez utiliser le masque générique 0.0.0.0 après
l’adresse IP ou le paramètre host avant l’adresse IP.
R1(config)#access-list 9 deny 192.168.15.99 0.0.0.0
est identique à :
R1(config)#access-list 9 deny host 192.168.15.99
 Paramètre any
Pour filtrer tous les hôtes, vous pouvez utiliser le paramètre composé uniquement
de 1 en définissant 255.255.255.255 comme masque générique. Lorsque vous utilisez
255.255.255.255 comme masque générique, tous les bits sont considérés comme des
correspondances. L’adresse IP est donc généralement représentée ainsi : 0.0.0.0.
Pour filtrer tous les hôtes, vous pouvez également utiliser le paramètre any.
R1(config)#access-list 9 permit 0.0.0.0 255.255.255.255
est identique à :
R1(config)#access-list 9 permit any
Prenons l’exemple suivant où un hôte spécifique est refusé et où tous les autres sont
autorisés :
R1(config)#access-list 9 deny host 192.168.15.99
R1(config)#access-list 9 permit any

La commande permit any autorise tout trafic qui n’est pas refusé de façon spécifique
dans la liste de contrôle d’accès. Une fois la configuration terminée, aucun paquet
n’atteindra la commande implicite deny any à la fin de la liste de contrôle d’accès.
Dans un réseau d’entreprise ayant un schéma d’adressage IP hiérarchique, il est
souvent nécessaire de filtrer le trafic de sous-réseau.

Si 3 bits sont utilisés pour créer des sous-réseaux à partir du réseau 192.168.77.0, le
masque de sous-réseau est 255.255.255.224. Si le masque de sous-réseau est soustrait
du masque constitué uniquement de 255, le masque générique est 0.0.0.31. Pour
autoriser les hôtes du sous-réseau 192.168.77.32, l’instruction de liste de contrôle
d’accès est la suivante :
access-list 44 permit 192.168.77.32 0.0.0.31
Créer des masques génériques adéquats pour les instructions de liste de contrôle
d’accès vous offre le contrôle nécessaire afin de mieux gérer le flux de trafic. Filtrer
différents trafics de sous-réseau constitue le concept le plus difficile à assimiler pour
les débutants.
Le réseau 192.168.77.0, avec comme masque de sous-réseau 255.255.255.192 ou /26,
crée les quatre sous-réseaux suivants :
 192.168.77.0/26
 192.168.77.64/26
 192.168.77.128/26
 192.168.77.192/26

Pour créer une liste de contrôle d’accès en vue de filtrer l’un de ces quatre sous-
réseaux, vous devez soustraire le masque de sous-réseau 255.255.255.192 du
masque constitué uniquement de 255, ce qui donne comme masque générique :
0.0.0.63. Pour autoriser le trafic provenant des deux premiers sous-réseaux, utilisez
deux instructions de liste de contrôle d’accès :

access-list 55 permit 192.168.77.0 0.0.0.63

access-list 55 permit 192.168.77.64 0.0.0.63
Les deux premiers réseaux sont également résumés comme 192.168.77.0/25. Si le
masque de sous-réseau résumé 255.255.255.128 est soustrait du masque constitué
uniquement de 255, le masque générique est 0.0.0.127. Ce masque permet de
regrouper ces deux sous-réseaux en une seule instruction de liste de contrôle d’accès
plutôt que deux.
access-list 5 permit 192.168.77.0 0.0.0.127

4.6 Positionnement des ACL standard et étendues

Lorsqu’elles sont correctement conçues, les listes de contrôle d’accès ont un impact
positif sur les performances et la disponibilité d’un réseau. Planifiez la création et le
positionnement des listes de contrôle d’accès en vue d’optimiser leurs effets.
La planification est composée des étapes suivantes :
1. Identification des spécifications de filtrage du trafic
2. Identification du type de liste de contrôle d’accès le mieux adapté aux spécifications
3. Identification du routeur et de l’interface sur lesquels doit être appliquée la liste de
contrôle d’accès
4. Identification de la direction du filtrage du trafic
Étape 1 : identification des spécifications de filtrage du trafic
Recueillez les spécifications de filtrage du trafic auprès des parties prenantes de
chaque service d’une entreprise. Ces spécifications varient d’une entreprise à l’autre
et dépendent des besoins de la clientèle, des types de trafic, des charges de trafic et
des questions de sécurité.
Étape 2 : identification du type de liste de contrôle d’accès le mieux adapté aux
spécifications
Le choix entre une liste de contrôle d’accès standard et étendue se fait en fonction
des spécifications de filtrage de la situation. Le type de liste de contrôle d’accès
peut affecter sa souplesse, ainsi que les performances du routeur et la bande
passante de la liaison de réseau.
Les listes de contrôle d’accès standard sont simples à créer et à mettre en œuvre.
Cependant, elles ne filtrent que sur l’adresse source et filtrent l’ensemble du trafic
quel que soit son type ou sa destination. Dans le cas de routes vers plusieurs
réseaux, une liste de contrôle d’accès standard placée trop près de la source risque
de bloquer un trafic qui devrait être autorisé. Il est donc important de positionner
les listes de contrôle d’accès standard le plus près possible de la destination.

Lorsque les spécifications de filtrage sont plus complexes, utilisez une liste de
contrôle d’accès étendue. Elles offrent plus de contrôle que les listes standard. Elles
filtrent sur les adresses source et de destination. Elles filtrent également en
fonction du protocole de couche réseau, du protocole de couche transport et des
numéros de port, si nécessaire. Ce détail de filtrage supplémentaire permet à un
administrateur réseau de créer des listes de contrôle d’accès qui répondent à des
besoins précis d’un plan de sécurité.
Positionnez une liste de contrôle d’accès près de l’adresse source. Se référant à la
fois à l’adresse source et de destination, la liste de contrôle d’accès bloque les
paquets adressés à un réseau de destination spécifique avant qu’ils ne quittent le
routeur source. Les paquets sont filtrés avant de transiter sur le réseau, ce qui
économise la bande passante.

Étape 3 : identification du routeur et de l’interface de la liste de contrôle d’accès

Positionnez les listes de contrôle d’accès sur les routeurs dans la couche d’accès ou
la couche de distribution. Un administrateur réseau doit contrôler ces routeurs et
être capable de mettre en œuvre une stratégie de sécurité. Un administrateur
réseau qui n’a pas accès au routeur ne peut pas y configurer une liste de contrôle
d’accès.
Le choix de l’interface se fait en fonction des spécifications de filtrage, du type de la
liste de contrôle d’accès et de l’emplacement du routeur désigné. Il est préférable de
filtrer le trafic avant qu’il n’arrive à une liaison série d’une bande passante inférieure.
Le choix de l’interface se fait généralement de lui-même, une fois le routeur choisi.

Étape 4 : identification de la direction du filtrage du trafic

Lorsque vous déterminez la direction dans laquelle doit être appliquée une liste de
contrôle d’accès, visualisez le flux de trafic par rapport au routeur.
Le trafic entrant correspond au trafic qui vient de l’extérieur pour arriver sur une
interface de routeur. Le routeur compare le paquet entrant à la liste de contrôle
d’accès avant de rechercher le réseau de destination dans la table de routage. Les
paquets qui sont ignorés à ce moment-là permettent d’éviter la surcharge des
recherches de routage. La liste de contrôle d’accès entrante est ainsi plus efficace
pour le routeur qu’une liste sortante.
Le trafic sortant se trouve à l’intérieur du routeur et part via une interface. Dans le cas
d’un paquet sortant, le routeur a déjà effectué une recherche dans la table de routage
et a commuté le paquet sur l’interface correspondante. Le paquet est comparé à la
liste de contrôle d’accès juste avant de quitter le routeur.
 
 
 Exercices
1) Indiquez si la caractéristique décrit une liste de contrôle d’accès standard,
étendue ou nommée. Crochez dans la colonne standard, étendue ou nommée
des 9 caractéristiques.
 2) Indiquez si le paquet sera autorisé ou refusé en fonction de l’adresse IP source.
Crochez dans la colonne autorisé ou refusé pour chaque instruction de la liste de
contrôle d’accès.
3)Déterminez le masque générique en fonction de l’objectif de l’instruction de liste
de contrôle d’accès.
4)Indiquez si le paquet IP est autorisé ou refusé en analysant l’adresse de
comparaison et le masque générique. Crochez dans la colonne autorisé ou refusé
avoir comparé l’adresse IP et l’instruction de liste de contrôle d’accès.
5) En fonction de la liste de contrôle d’accès, déterminez si les paquets sont
autorisés ou refusés. Crochez dans la colonne autorisé ou refusé pour chaque paire
d’adresses IP source et de destination du paquet en vous référant aux instructions
de la liste de contrôle d’accès.
6) Votre chef veut suivre une formation de CCNA, en se référant de la topologie.
L’ACL est configuré sur l’interface S0/0 du routeur RTB dans la direction sortante.
Quels sont les paquets qui seront bloqué sur l’interface du routeur ? (choisissez deux
réponses)

a)Adresse IP source : 192.168.15.5 ; port destination : 21

b)Adresse IP source : 192.168.15.37 ; port destination : 21
c)Adresse IP source : 192.168.15.41 ; port destination : 21
d)Adresse IP source : 192.168.15.36 ; port destination : 23
e)Adresse IP source : 192.168.15.46 ; port destination : 23
f)Adresse IP source : 192.168.15.49 ; port destination : 23
7) En se référant de la topologie.

Il a été décidé de bloqué l’accès du PC 1 au Serveur 1. Choisissez deux commandes

pour empêcher seulement le PC 1 d’accéder au serveur 1 et l’autorisant les autres.
a)Router (config)# interface fa 0/0
Router (config-if)# IP access-group 101 out
b)Router (config)# interface fa 0/0
Router (config-if)# IP access-group 101 in
c)Router (config)# access-list 101 deny IP host 172.16.161.150 host 172.16.162.163
Router (config)# access-list 101 permit IP any any
d)Router (config)# access-list 101 deny IP 172.16.161.150 0.0.0.255 172.16.162.163
0.0.0.0
Router (config)# access-list 101 permit IP any any
8) Un administrateur veut ajouter une ligne à une ACL qui bloquera seulement
l’accès telnet pour les hôtes du réseau 192.168.1.128/28 à l’adresse 192.168.1.5 du
serveur. Choisissez la commande pour accomplir cette tâche ?

a)Access-list 1 deny tcp 192.168.1.128 0.0.0.15 host 192.168.1.5 eq 23

Access-list 1 permit IP any any
b)Access-list 101 deny tcp 192.168.1.128 0.0.0.240 192.168.1.5 0.0.0.0 eq 23
Access-list 101 permit IP any any
c)Access-list 1 deny tcp 192.168.1.128 0.0.0.255 192.168.1.5 0.0.0.0 eq 21
Access-list 1 permit IP any any
d)Access-list 101 deny tcp 192.168.1.128 0.0.0.15 192.168.1.5 0.0.0.0 eq 23
Access-list 101 permit IP any any

9)Vous avez besoin de créer une ACL qui va empêcher les hôtes du réseau
192.168.160.0 d’accéder au réseau 192.168.191.0. lequel des listes suivantes
utiliserez-vous ?
a)Access-list 10 deny 192.168.160.0 255.255.224.0
b)Access-list 10 deny 192.168.160.0 0.0.191.255
c)Access-list 10 deny 192.168.160.0 0.0.31.255
d)Access-list 10 deny 192.168.0.0 0.0.31.255
10) Quelle instruction qui autorisera toutes les sessions web à accéder au réseau
192.168.144.0/24 contenant le serveur web ?
a)Access-list 110 permit tcp 192.168.144.0 0.0.0.255 any eq 80
b)Access-list 110 permit tcp any 192.168.144.0 0.0.0.255 eq 80
c)Access-list 110 permit tcp 192.168.144.0 0.0.0.255 192.168.144.0 0.0.0.255 any eq 80
d)Access-list 110 permit udp any 192.168.144.0 eq 80

11) Quelle instruction qui autorisera seulement le trafic http dans le réseau
196.15.7.0 ?
a)Access-list 100 permit tcp any 196.15.7.0 0.0.0.255 eq www
b)Access-list 10 deny tcp any 196.15.7.0 eq www
c)Access-list 100 permit 196.15.7.0 0.0.0.255 eq www
d)Access-list 110 permit ip any 196.15.7.0 0.0.0.255
e)Access-list 110 permit www 196.15.7.0 0.0.0.255

 
12) Si vous vouliez bloquer toutes les connections Telnet vers seulement le réseau
192.168.10.0. Quelle commande pourriez-vous utiliser ?
a)Access-list 100 deny tcp 192.168.10.0 255.255.255.0 eq telnet
b)Access-list 100 deny tcp 192.168.10.0 0.255.255.255 eq telnet
c)Access-list 100 deny tcp any 192.168.10.0 0.0.0.255 eq 23
d)Access-list 100 deny 192.168.10.0 0.0.0.255 any eq 23

13) Si vous vouliez bloquer le FTP avec le réseau 200.200.10.0 de ne pas accéder au
réseau 200.199.11.0, mais l’on autorise d’autres services ou applications. Laquelle
des assertions est valide ?
a)Access-list 110 deny 200.200.10.0 200.199.11.0 eq ftp
Access-list 111 permit IP any 0.0.0.0 255.255.255.255
b)Access-list 1 deny ftp 200.200.10.0 200.199.11.0 any any
c)Access-list 100 deny tcp 200.200.10.0 0.0.0.255 200.199.11.0 0.0.0.255 eq ftp
d)Access-list 198 deny tcp 200.200.10.0 0.0.0.255 200.199.11.0 0.0.0.255 eq ftp
Access-list 198 permit IP any 0.0.0.0 255.255.255.255
14) Vous voulez créer une ACL étendue qui bloquera l’hôte 172.16.50.172/20. Quelle
commande utiliserez-vous ?
a)Access-list 110 deny 110 IP 172.16.48.0 255.255.240.0 any
b)Access-list 110 udp deny 172.16.0.0 0.0..255.255 IP any
c)Access-list 110 deny tcp 172.16.64.0 0.0.31.255 any eq 80
d)Access-list 110 deny IP 172.16.48.0 0.0.15.255 any

15) L’ACL suivante a été appliqué sur une interface du routeur.

Access-list 101 deny tcp 199.111.16.32 0.0.0.31 host 199.168.5.60
Laquelle des adresses IP suivantes sera bloqué suite à cette instruction ?
a)199.111.16.67
b)199.111.16.38
c)199.111.16.65
d)199.11.16.54

16) Vous voulez créer une ACL étendue qui bloquera l’hôte 172.16.198.94/19. Quelle
commande utiliserez-vous ?
a)Access-list 110 deny IP 172.16.192.0 0.0.31.255 any
b)Access-list 110 deny IP 172.16.0.0 0.0.255.255 any
c)Access-list 110 deny IP 172.16.172.0 0.0.31.255 any
d)Access-list 110 deny IP 172.16..188.0 0.0.15.255 any
17) Quelle commande qui sera utilisé à l’ACL numéro 110 appliqué à l’interface
Ethernet 0 dans la direction entrante ?
a)Router (config)# IP access-group 110 in
b)Router (config)# IP access-list 110 in
c)Router (config-if)# IP access-group 110 in
d)Router (config-if)# IP access-list 110 in
Chap.5 LA FONCTION NAT
 
5.1 Qu’est-ce que la fonction NAT ?
 
La fonction NAT agit comme la réceptionniste d’une grande société. Supposons que
vous avez demandé à la réceptionniste de ne vous transférer aucun appel sauf
contre-indication de votre part. Plus tard, vous appelez un client potentiel et vous lui
laissez un message en lui demandant de vous rappeler. Vous dites à la réceptionniste
que vous attendez un appel de ce client ; vous lui demandez de transférer l’appel à
votre bureau.
Le client appelle le standard de la société car il s’agit du seul numéro qu’il connaît.
Lorsque le client indique à la réceptionniste le nom de la personne qu’il souhaite
contacter, la réceptionniste consulte une table de recherche dans laquelle votre nom
est associé à votre extension. La réceptionniste sait que vous attendez cet appel ; elle
transfère donc l’appel à votre extension.
Ainsi, pendant que le serveur DHCP attribue des adresses IP dynamiques aux
périphériques du réseau, les routeurs compatibles NAT retiennent une ou plusieurs
adresses IP Internet valides hors du réseau. Lorsque le client envoie des paquets en
dehors du réseau, la fonction NAT traduit l’adresse IP interne du client en adresse
externe. Pour les utilisateurs externes, l’ensemble du trafic depuis et vers le réseau a
la même adresse IP ou provient du même pool d’adresses.
La principale fonction de NAT est d’enregistrer les adresses IP en autorisant les
réseaux à utiliser des adresses IP privées. NAT traduit les adresses non routables,
privées et internes en adresses routables publiques. NAT permet également d’ajouter
un niveau de confidentialité et de sécurité à un réseau car il empêche les réseaux
externes de voir les adresses IP internes.
 
Les termes suivants relatifs à la fonction NAT :
 
 Adresse locale interne : n’est généralement pas une adresse IP attribuée par un
organisme d’enregistrement Internet local ou un fournisseur de services et est
souvent une adresse privée RFC 1918.
 Adresse globale interne : adresse publique valide attribuée à l’hôte interne lorsque
ce dernier quitte le routeur NAT.
 Adresse globale externe : adresse IP accessible attribuée à un hôte sur Internet.
 Adresse locale externe : adresse IP locale attribuée à un hôte du réseau externe.
Dans la plupart des cas, cette adresse sera identique à l’adresse globale externe de
ce périphérique externe.
Remarque : dans ce chapitre, nous parlerons d’adresse locale interne, d’adresse
globale interne et d’adresse globale externe. L’utilisation de l’adresse locale externe
n’est pas abordée dans ce chapitre.
5.2 Mappage dynamique et mappage statique
 
Il existe deux types de traduction NAT : dynamique et statique.
 
La fonction NAT dynamique utilise un pool d’adresses publiques et les attribue selon
la méthode du premier arrivé, premier servi. Lorsqu’un hôte ayant une adresse IP
privée demande un accès à Internet, la fonction NAT dynamique choisit dans le pool
une adresse IP qui n’est pas encore utilisée par un autre hôte. Cette description est
celle du mappage.
 
La fonction NAT statique utilise un mappage biunivoque des adresses locales et
globales ; ces mappages restent constants. Cette fonction s’avère particulièrement
utile pour les serveurs Web ou les hôtes qui doivent disposer d’une adresse
permanente, accessible depuis Internet. Ces hôtes internes peuvent être des serveurs
d’entreprise ou des périphériques réseau.
 
Les fonctions NAT statique et dynamique nécessitent toutes deux qu’il existe
suffisamment d’adresses publiques disponibles pour satisfaire le nombre total de
sessions utilisateur simultanées.
Surcharge NAT
 
La surcharge NAT (parfois appelée traduction d’adresses de port ou PAT) mappe
plusieurs adresses IP privées à une seule adresse IP publique ou à quelques adresses.
C’est ce que font la plupart des routeurs personnels. Votre FAI attribue une adresse à
votre routeur et pourtant, plusieurs membres de votre famille peuvent surfer
simultanément sur Internet.
 Grâce à la surcharge NAT, plusieurs adresses peuvent être mappées à une ou quelques
adresses car chaque adresse privée est également suivie par un numéro de port.
Lorsqu’un client ouvre une session TCP/IP, le routeur NAT attribue un numéro de port à
son adresse source. La surcharge NAT s’assure que les clients utilisent un numéro de
port TCP différent pour chaque session client avec un serveur sur Internet. Lorsqu’une
réponse revient du serveur, le numéro de port source, qui devient le numéro de port de
destination lors du retour, détermine le client auquel le routeur achemine les paquets. Il
confirme également que les paquets entrants étaient demandés, ce qui ajoute un
niveau de sécurité à la session.
 Les numéros de port sont codés en 16 bits. Le nombre total d’adresses internes
pouvant être traduites en une adresse externe peut théoriquement atteindre 65 536
par adresse IP. Cependant, pour être réaliste, le nombre d’adresses internes pouvant se
voir attribuer une adresse IP unique se situe aux environs de 4 000.
5.3 Différences entre NAT et la surcharge NAT
 
Résumer les différences entre NAT et la surcharge NAT va vous aider à mieux
comprendre. NAT ne traduit en général que des adresses IP sur une base de 1 pour 1
entre des adresses IP publiques et des adresses IP privées. La surcharge NAT modifie
à la fois l’adresse IP privée et le numéro de port de l’expéditeur. La surcharge NAT
choisit les numéros de port vus par les hôtes sur le réseau public.
NAT achemine les paquets entrants vers leur destination interne en faisant référence
à l’adresse IP source entrante donnée par l’hôte sur le réseau public. Avec la
surcharge NAT, il n’y a généralement qu’une ou que très peu d’adresses IP exposées
au public. Les paquets entrants provenant du réseau public sont acheminés vers leur
destination sur le réseau privé en faisant référence à une table dans le périphérique
de surcharge NAT qui suit les associations entre ports publics et privés. On appelle
cela le suivi de connexions.

5.4 Avantages et inconvénients de la fonction NAT

La fonction NAT compte de nombreux avantages. Son utilisation présente malgré
tout quelques inconvénients, notamment le manque de prise en charge pour certains
types de trafic.
Voici quelques-uns des avantages liés à l’utilisation de la fonction NAT :
 Ménage le modèle d’adressage enregistré légalement.
 Augmente la souplesse des connexions vers le réseau public.
 Assure la cohérence des schémas d’adressage du réseau interne.
 Assure la sécurité du réseau.

La fonction NAT présente malgré tout quelques inconvénients.

 
 Les performances sont affectées.
 Les fonctionnalités de bout en bout sont affectées.
 La traçabilité IP de bout en bout est perdue.
 La transmission tunnel est plus compliquée.
 L’établissement de connexions TCP peut être perturbé.
 Les architectures doivent être remodelées pour tenir compte des modifications.
5.5 Configuration
5.5.1 NAT statique
 
Souvenez-vous que la fonction NAT statique est un mappage qui fait correspondre
une adresse interne et une adresse externe. La fonction NAT statique permet
d’établir les connexions initiées par des périphériques externes avec des
périphériques internes. Vous pouvez par exemple mapper une adresse globale
interne à une adresse locale interne spécifique attribuée à votre serveur Web.
 
La configuration de traductions NAT statiques est simple. Vous devez définir les
adresses à traduire, puis configurer la fonction NAT sur les interfaces appropriées.
Les paquets arrivant sur une interface interne depuis l’adresse IP identifiée sont
soumis à la traduction. Les paquets arrivant sur une interface externe dont l’adresse
correspond à l’adresse IP identifiée sont soumis à la traduction.
 
La figure explique les commandes correspondant aux étapes. Vous devez entrer les
traductions statiques directement dans la configuration. Contrairement aux
traductions dynamiques, ces traductions se trouvent toujours dans la table NAT
5.5.2 Configuration de la NAT dynamique
Alors que la fonction NAT statique offre un mappage permanent entre une adresse
interne et une adresse publique spécifique, la fonction NAT dynamique mappe les
adresses IP privées aux adresses publiques. Ces adresses IP publiques sont issues d’un
pool NAT. Les configurations NAT dynamique et statique sont différentes, mais elles
ont également des points communs. Comme pour la fonction NAT statique, la
configuration de la fonction NAT dynamique doit déterminer si chaque interface est
interne ou externe. Cependant, plutôt que de créer un mappage statique avec une
adresse IP unique, un pool d’adresses globales internes est utilisé
Pour configurer la fonction NAT dynamique, une liste de contrôle d’accès ne doit
autoriser que les adresses devant être traduites. Lorsque vous créez votre liste de
contrôle d’accès, souvenez-vous qu’une commande implicite « deny all » se trouve à la
fin de chaque liste de contrôle d’accès. Une liste de contrôle d’accès trop laxiste peut
mener à des résultats imprévisibles. Cisco recommande de ne pas configurer les listes
de contrôle d’accès référencées par des commandes NAT à l’aide de la commande
permit any. En effet, si vous utilisez la commande permit any, la fonction NAT risque de
consommer trop de ressources du routeur, ce qui peut occasionner des problèmes sur
le réseau.
5.5.3 Configuration de la surcharge NAT pour une adresse IP publique unique
Vous pouvez configurer la surcharge de deux façons différentes, en fonction du mode
d’allocation des adresses IP publiques par le FAI. Dans le premier cas, le FAI alloue une
seule adresse IP publique à l’organisation et dans le deuxième, il en alloue plusieurs.
La figure illustre les étapes à suivre pour configurer la surcharge NAT avec une adresse
IP unique. Avec une seule adresse IP publique, la configuration de la surcharge
attribue généralement cette adresse publique à l’interface externe qui se connecte au
FAI. Toutes les adresses internes sont traduites en une seule adresse IP lorsqu’elles
quittent l’interface externe.
La configuration est semblable à la fonction NAT dynamique, sauf que le mot clé
interface est utilisé pour identifier l’adresse IP externe, et non un pool d’adresses.
Aucun pool NAT n’est donc défini. Le mot clé overload permet d’ajouter le numéro de
port à la traduction.
5.5.4 Configuration de la surcharge NAT pour un pool d’adresses IP publiques
Dans le cas où le FAI a fourni plusieurs adresses IP publiques, la surcharge NAT est
configurée pour utiliser un pool. La principale différence entre cette configuration et la
configuration dynamique, une-à-une NAT est l’utilisation du mot clé overload.
Souvenez-vous que le mot clé overload permet la traduction d’adresses de port.
 Exercices

1) En se référant de la topologie.

Une compagnie veut utiliser la fonction Nat dans le réseau. Quelles commandes
utiliserez-vous correctement aux interfaces lors de la configuration du Nat.
(Choisissez deux réponses)
a)R1(config)# interface serial 0/1
R1(config-if)# ip nat inside
b)R1(config)# interface serial 0/1
R1(config-if)# ip nat outside
c)R1(config)# interface fasethernet 0/0
R1(config-if)# ip nat inside
d)R1(config)# interface fasethernet 0/0
R1(config-if)# ip nat outside
e)R1(config)# interface serial 0/1
R1(config-if)# ip nat outside source pool 200.2.2.18 255.255.255.252
f)R1(config)# interface fasethernet 0/0
R1(config-if)# ip nat inside source 10.10.0.0 255.255.255.0
 
2) Lisez l’exposé. Selon les informations affichées dans l’exposé, quelle est l’affirmation
correcte concernant la configuration NAT ?

a) La fonction NAT statique est configurée

b) La fonction NAT dynamique est configurée
c) La fonction PAT est configurée
d) La fonction NAT n’est pas correctement configurée
3) Lisez l’exposé. Quel est ou quels sont les hôtes dont les adresses vont être traduites
par la fonction NAT ?

a) 10.1.1.2
b) 192.168.0.100
c) 209.165.200.2
d) Tous les hôtes sur le réseau 10.1.1.0
e) Tous les hôtes sur le réseau 192.168.0.0
 
4) Lisez l’exposé. Quelles sont les adresses qui vont être traduites par la fonction NAT ?
 

a) 10.1.1.2 – 10.1.1.255
b) 192.168.0.0 – 192.168.0.255
c) 209.165.200.240 – 209.165.200.255
d) L’hôte 10.1.1.2 seulement
e) L’hôte 209.165.200.255 seulement
5) Lisez l’exposé. L’adresse IP unique 192.168.14.5/24 est attribuée au serveur Web 1.
Pour que les hôtes d’internet accèdent au serveur Web 1, quel est le type de
configuration NAT qui est requis sur le Routeur 1 ?

a) NAT statique
b) NAT dynamique
c) NAT avec surcharge
d) Transmission de ports.
6) Lisez l’exposé. Selon la sortie de débogage d’un routeur CISCO, quel type d’adresse
est l’adresse 24.74.237.203 ?
 

a) Locale interne
b) Globale interne
c) Locale externe
d) Globale externe